基于token的多平臺身份認(rèn)證架構(gòu)設(shè)計的方法教程

本篇內(nèi)容介紹了“基于token的多平臺身份認(rèn)證架構(gòu)設(shè)計的方法教程”的有關(guān)知識，在實際案例的操作過程中，不少人都會遇到這樣的困境，接下來就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧！希望大家仔細(xì)閱讀，能夠?qū)W有所成！

1、概述

在存在賬號體系的信息系統(tǒng)中，對身份的鑒定是非常重要的事情。

隨著移動互聯(lián)網(wǎng)時代到來，客戶端的類型越來越多， 逐漸出現(xiàn)了 一個服務(wù)器，N 個客戶端的格局 。

不同的客戶端產(chǎn)生了不同的用戶使用場景，這些場景：

• 有不同的環(huán)境安全威脅

• 不同的會話生存周期

• 不同的用戶權(quán)限控制體系

• 不同級別的接口調(diào)用方式

綜上所述，它們的身份認(rèn)證方式也存在一定的區(qū)別。

本文將使用一定的篇幅對這些場景進(jìn)行一些分析和梳理工作。

2、使用場景

下面是一些在 IT 服務(wù)常見的一些使用場景:

• 用戶在 web 瀏覽器端登錄系統(tǒng), 使用系統(tǒng)服務(wù)

• 用戶在手機端（Android/iOS）登錄系統(tǒng), 使用系統(tǒng)服務(wù)

• 用戶使用開放接口登錄系統(tǒng), 調(diào)用系統(tǒng)服務(wù)

• 用戶在 PC 處理登錄狀態(tài)時通過手機掃碼授權(quán)手機登錄（使用得比較少）

• 用戶在手機處理登錄狀態(tài)進(jìn)通過手機掃碼授權(quán) PC 進(jìn)行登錄（比較常見）

通過對場景的細(xì)分, 得到如下不同的認(rèn)證 token 類別：

1、原始賬號密碼類別

• 用戶名和密碼

• API 應(yīng)用 ID/KEY

2、會話 ID 類別

• 瀏覽器端 token

• 移動端 token

• API 應(yīng)用 token

3、接口調(diào)用類別

• 接口訪問 token

• 身份授權(quán)類別

• PC 和移動端相互授權(quán)的 token

3、token 的類別

不同場景的 token 進(jìn)行如下幾個維度的對比:

天然屬性對比:

1、使用成本
本認(rèn)證方式在使用的時候, 造成的不便性。比如:

• 賬號密碼需要用戶打開頁面然后逐個鍵入

• 二維碼需要用戶掏出手機進(jìn)行掃碼操作

2、變化成本
本認(rèn)證方式, token 發(fā)生變化時, 用戶需要做出的相應(yīng)更改的成本:

• 用戶名和密碼發(fā)生變化時, 用戶需要額外記憶和重新鍵入新密碼

• API 應(yīng)用 ID/KEY 發(fā)生變化時, 第三方應(yīng)用需要重新在代碼中修改并部署

• 授權(quán)二維碼發(fā)生變化時, 需要用戶重新打開手機應(yīng)用進(jìn)行掃碼

環(huán)境風(fēng)險

• 被偷窺的風(fēng)險

• 被抓包的風(fēng)險

• 被偽造的風(fēng)險

可調(diào)控屬性對比:

1、使用頻率

在網(wǎng)路中傳送的頻率

2、有效時間

此 token 從創(chuàng)建到終結(jié)的生存時間

最終的目標(biāo): 安全和影響。

安全和隱私性主要體現(xiàn)在:

• token 不容易被竊取和盜用（通過對傳送頻率控制）

• token 即使被竊取, 產(chǎn)生的影響也是可控的（通過對有效時間控制）

關(guān)于隱私及隱私破壞后的后果, 有如下的基本結(jié)論:

• 曝光頻率高的容易被截獲

• 生存周期長的在被截獲后產(chǎn)生的影響更嚴(yán)重和深遠(yuǎn)

遵守如下原則:

• 變化成本高的 token 不要輕易變化

• 不輕易變化的 token 要減少曝光頻率（網(wǎng)絡(luò)傳輸次數(shù)）

• 曝光頻率高的 token 的生存周期要盡量短

將各類 token 的固有特點及可控屬性進(jìn)行調(diào)控后, 對每個指標(biāo)進(jìn)行量化評分（1~5 分），我們可以得到如下的對比表：

備注: username/passwd 和 appid/app_key 是等價的效果

4、token 的層級關(guān)系

參考上一節(jié)的對比表，可以很容易對這些不同用途的 token 進(jìn)行分層，主要可以分為 4 層：

• 密碼層：最傳統(tǒng)的用戶和系統(tǒng)之間約定的數(shù)字身份認(rèn)證方式

• 會話層：用戶登錄后的會話生命周期的會話認(rèn)證

• 調(diào)用層：用戶在會話期間對應(yīng)用程序接口的調(diào)用認(rèn)證

• 應(yīng)用層：用戶獲取了接口訪問調(diào)用權(quán)限后的一些場景或者身份認(rèn)證應(yīng)用

token 的分層圖如下：

在一個多客戶端的信息系統(tǒng)里面, 這些 token 的產(chǎn)生及應(yīng)用的內(nèi)在聯(lián)系如下:

• 用戶輸入用戶名和用戶口令進(jìn)行一次性認(rèn)證

• 在 不同 的終端里面生成擁有 不同 生命周期的會話 token

• 客戶端會話 token 從服務(wù)端交換生命周期短但曝光 頻繁 的接口訪問 token

• 會話 token 可以生成和刷新延長 access_token 的生存時間

• access_token 可以生成生存周期最短的用于授權(quán)的二維碼的 token

使用如上的架構(gòu)有如下的好處：

• 良好的統(tǒng)一性?？梢越鉀Q不同平臺上認(rèn)證 token 的生存周期的 歸一化 問題

• 良好的解耦性。核心接口調(diào)用服務(wù)器的認(rèn)證 access_token 可以完成獨立的實現(xiàn)和部署

• 良好的層次性。不同平臺的可以有完全不同的用戶權(quán)限控制系統(tǒng)，這個控制可以在 會話層 中各平臺解決掉

4.1、賬號密碼

廣義的 賬號 / 密碼 有如下的呈現(xiàn)方式:

• 傳統(tǒng)的注冊用戶名和密碼

• 應(yīng)用程序的 appid/appkey

它們的特點如下：

1、會有特別的意義

比如：用戶自己為了方便記憶，會設(shè)置有一定含義的賬號和密碼。

2、不常修改

賬號密碼對用戶有特別含義，一般沒有特殊情況不會愿意修改。而 appid/appkey 則會寫在應(yīng)用程序中，修改會意味著重新發(fā)布上線的成本

3、一旦泄露影響深遠(yuǎn)

正因為不常修改，只要泄露了基本相當(dāng)于用戶的網(wǎng)絡(luò)身份被泄露，而且只要沒被察覺這種身份盜用就會一直存在

所以在認(rèn)證系統(tǒng)中應(yīng)該盡量減少傳輸?shù)臋C會，避免泄露。

4.2、客戶端會話 token

功能：

充當(dāng)著 session 的角色，不同的客戶端有不同的生命周期。

使用步驟：

用戶使用賬號密碼，換取會話 token

不同的平臺的 token 有不同的特點：

Web 平臺生存周期短

主要原因：

• 環(huán)境安全性：由于 web 登錄環(huán)境一般很可能是公共環(huán)境，被他人盜取的風(fēng)險值較大

• 輸入便捷性：在 PC 上使用鍵盤輸入會比較便捷

移動端生存周期長

主要原因：

• 環(huán)境安全性：移動端平臺是個人用戶極其私密的平臺，它人接觸的機會不大

• 輸入便捷性：在移動端上使用手指在小屏幕上觸摸輸入體驗差，輸入成本高

4.3、access_token

功能：

服務(wù)端應(yīng)用程序 api 接口訪問和調(diào)用的憑證。

使用步驟：

使用具有較長生命周期的會話 token 來換取此接口訪問 token。

其曝光頻率直接和接口調(diào)用頻率有關(guān)，屬于高頻使用的憑證。為了照顧到隱私性，盡量減少其生命周期，即使被截取了，也不至于產(chǎn)生嚴(yán)重的后果。

注意：在客戶端 token 之下還加上一個 access_token， 主要是為了讓具有不同生命周期的客戶端 token 最后在調(diào)用 api 的時候， 能夠具有統(tǒng)一的認(rèn)證方式。

4.4、pam_token

功能：

由已經(jīng)登錄和認(rèn)證的 PC 端生成的二維碼的原始串號（Pc Auth Mobile）。

主要步驟如下：

1. PC 上用戶已經(jīng)完成認(rèn)證，登錄了系統(tǒng)

2. PC 端生成一組和此用戶相關(guān)聯(lián)的 pam_token

3. PC 端將此 pam_token 的使用鏈接生成二維碼

4. 移動端掃碼后，請求服務(wù)器，并和用戶信息關(guān)聯(lián)

5. 移動端獲取 refresh_token(長時效的會話)

6. 根據(jù) refreshtoken 獲取 accesstoken

7. 完成正常的接口調(diào)用工作

備注:

• 生存周期為 2 分鐘, 2 分鐘后過期刪除

• 沒有被使用時, 每 1 分鐘變一次

• 被使用后, 立刻刪除掉

• 此種認(rèn)證模式一般不會被使用到

4.5、map_token

功能：

由已經(jīng)登錄的移動 app 來掃碼認(rèn)證 PC 端系統(tǒng)，并完成 PC 端系統(tǒng)的登錄（Mobile Auth Pc）。

主要步驟：

1. 移動端完成用戶身份的認(rèn)證登錄 app

2. 未登錄的 PC 生成匿名的 map_token

3. 移動端掃碼后在 db 中生成 map_token 和用戶關(guān)聯(lián)（完成簽名）

4. db 同時針對此用戶生成 web_token

5. PC 端一直以 maptoken 為參數(shù)查找此命名用戶的 webtoken

6. PC 端根據(jù) webtoken 去獲取 accesstoken

7. 后續(xù)正常的調(diào)用接口調(diào)用工作

備注:

• 生存周期為 2 分鐘, 2 分鐘后過期刪除

• 沒有被使用時, 每 1 分鐘變一次

• 被使用后, 立刻刪除掉

“基于token的多平臺身份認(rèn)證架構(gòu)設(shè)計的方法教程”的內(nèi)容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識可以關(guān)注億速云網(wǎng)站，小編將為大家輸出更多高質(zhì)量的實用文章！